中芯數據 CTO 吳耿宏

資安防護的期待與落差

2

Agenda

3個落差還能怎麼辦

案例分析

技術展示

結論

3

落差1. 不能逃避的現實

100%

4

風險在哪裡？

n沒有任何資安設備可以百分百防禦l那就代表只要攻擊次數夠多，就可能成功

n縱深防禦l層層堆疊的自動化偵測設備，最終還是無法100%防禦l偵測到的惡意程式類型不同，處理的方式也會不同

n穿透資安設備是必然發生，但是你準備好面對嗎？

5

中世紀戰爭 V.S. 現代化戰爭

n中世紀戰爭l依賴厚實的防禦工事l人海戰術，需要大量士兵l城牆一旦被攻破，損失慘重

n現代化戰爭l有高科技武器，防禦不能只靠城牆l精準型戰略武器，可以以小博大，難以防範

6

中世紀戰爭 V.S. 現代化戰爭

n中世紀戰爭l網路出口端，放上資安設備，偵測所有入侵l系統被入侵，用人力處理！我們有重灌部隊l網路城牆一旦被攻破，損失慘重

n現代化戰爭l社交工程郵件，從內部瓦解，網路閘道設備無法偵測l永遠修不完的弱點，攻擊者可以精準利用

7

落差2.網際狙殺鍊(Cyber Kill Chain)

8

網際狙殺鍊(Cyber Kill Chain)

9

資安界的通靈之術

• 資安設備可以偵測的攻擊，表示已經可以阻擋，所以不是問題。

• 真正的問題是沒有警報的問題！

資安專家說：

• 以資安人力分配，光處理完有警報的問題就很辛苦。

• 還需要處理資安設備不會警報的問題？？

滿滿的問號？？

10

事與願違，滿滿的資安事件新聞

當然不可能！

11

n 重大資安新聞l 2017年中東地區國家的卡達半島電視台所有系統都遭受大規模駭客攻擊，引發波斯灣地區緊張情勢升高，虛實難判。l 2013年的韓國史上最大APT駭客事件，潛伏8個月入侵上千次，只為發動一次大規模破壞，造成超過48,700臺電腦、伺服器與ATM伺服器接連當機，使企業服務受重創。

l 2016年的一銀ATM遭駭事件，操控的駭客利用3支金融木馬程式，透過合法的ATM更新派送系統，一舉控制ATM吐鈔。l 2017年的Deloitte全球會計師事務所遭爆被駭客入侵，客戶資料外洩而影響其在美國市場

l 2017年司法院轄下29法院遭攻擊，僅以單一登入系統的帳號密碼遭駭客以電腦病毒入侵竊取。

沒別的手段! 只能眼睜睜看著事件爆發!

經歷8個月，成功潛入1千5百次最終還是沒有成功防護

12

Verizon《數據失竊調查報告》

n案例中攻擊者只需數秒就能破壞系統

n資料外洩經過數日或數月後才被發現

n與惡意程式相關的個案

n社交攻擊的主要切入點是依

靠電郵

38% 25% 39% 96%

13

落差3.事件處理只能等事發後處理嗎？

如果你選擇用人力處理

對！

14

用人力找惡意程式：Autoruns

15

用人力找惡意程式： Autoruns

16

對於資安的期待與落差

沒有100%偵測率的資安產品 必然有機會被攻擊者入侵

Cyber Kill Chain 強調對應攻擊必須即早切斷攻擊過程

處理連資安設備都看不到的攻擊，需要絕佳的

運氣

資安事件處理只能等到事情爆發才能處理

攻擊者偷盜一次，事件處理廠商再收費一次的

雙重傷害

17

落差具體呈現的有趣現象

n每次做產品測試後，客戶常常說：l我們環境應該有很多問題l測試的產品卻說沒有發現任何異常l這個產品沒有效l不斷重複這個過程

n其實真正的問題在於：

總是覺得有問題，卻沒有辦法查證?!!

18

解決落差的關鍵因素

自 動 化

19

事件處理的核心問題

n什麼時候發生?

n透過什麼方式入侵與擴散？

n到底受到影響的範圍是多大？

n如何用最快的方式處理完畢？

20

n Processl 遠端DLL注射行為l 程式執行的命令資訊l 程式的啟動與終止記錄

n Registryl 可疑的程式透過機碼存取密碼l 有新的系統服務增加l 所有機碼的異動紀錄

n Filel 檔案被遠端存取l 檔案的異動紀錄l 檔案的相關細節，如檔名、路徑及雜湊值等等

n Memoryl配置記憶體空間到其他程式l增加記憶體中可執行程式碼的區塊

n Networkingl網路連線的建立l網路連線的終止

n DDNA 記憶體分析

n結合Virustotal (68antivirus)l Hash 比對

7x24蒐集事件處理需要的系統活動資訊

21

7x24詳細蒐集新常駐的所有程式

22

即時篩選需要進階分析的行為

操作防毒軟體 防毒軟體探測 虛擬機探測 應用程式異常行為 關鍵檔案活動

檔案操作 程式操作 可疑檔案活動Google Chrome隱

匿模式 內部異常活動

內部威脅活動 系統遭入侵跡象Internet Explorer

異常行為 記憶體異常操作Mozilla Firefox異常行為

網路活動 可疑的常駐行為PowerShell操作

行為 程式活動事件 機碼活動事件

總數量 200+個內建偵測項目

23

怪異的 Powershell 參數

14720

4988

24

Powershell PID14720 是指令源頭

14720

25

網站已經被入侵 !

26

我們可以怎麼做

n具備自動即時鑑識，並提供遠端自動惡意程式清除功能

n全天候自動化即時鑑識並完整收集鑑識所需巨量記錄與未知威脅分析

n自動本土情資即時更新

n樣本即時逆向分析並

n全面偵防各種(已知與未知)攻擊手法l等於不限次數事件處理服務l等於不限次數惡意程式清除服務l依據後續合約內容提供惡意程式分析服務

27

提供一個可靠的偵測與回應服務流程，在整個內部網路威脅發生之事前、事中、事後，提供全所未有的端點活動的可視性，讓資安團隊完整透析端點異常活動，對持續性的內網攻擊行為進行偵測與處理。

警報分析服務流程

28

中芯數據『意圖威脅即時鑑識服務』提供獨特的訂閱模式，立即為企業提供全面進階威脅的保護及資安顧問的服務。

n 【意圖威脅】感知攻擊行為和意圖，突破傳統被動防禦的安全理念。

n 【即時鑑識】預測入侵者的攻擊意圖，並消除後續可能出現的威脅。

馬上訂閱即時有效阻止已知，阻斷正在進行及未來的威脅!!

2929

技術展示

30

只有避免賭博式的資安防禦手段

正視被入侵的風險

整合自動偵測與快速回應的安全架構

才能真正有效的讓損失降到最低。

結論

31

32

S

情資回饋端點聯防

n國內目前唯一可提供，從偵測、分析、也包含後續處理的MDR廠商。服務內容可以提供在合約期限內不限次數的資安事件處理與報告，更可以協助客戶進行惡意程式分析。

33

Thank you